我正在升级我的家庭服务器Ubuntu 22.04我很惊讶地发现没有选项可以加密主目录,因为它在Ubuntu 16.04。我只能选择使用LVM并加密整个分区或者根本不加密。
加密整个分区对我来说没问题,但是由于我的服务器是无头的,所以我必须能够使用 远程登录ssh。肯定有解决方案,例如设置dropbear和busybox,但这对我来说太麻烦了,无法实现目标。
或者,我可以为主目录创建一个单独的分区,并用 对其进行加密LUKS,但是,它将不是动态分区,并且最初将为其分配空间。此外,扩展它可能很麻烦。
我想到另一个想法是使用文件容器并加密,LUKS如这问题。如果需要,可以扩展容器。同样,这个解决方案对我来说看起来有点奇怪。我正在寻找最佳实践或一种常见且广泛使用的方法来解决此问题。有什么想法吗?
答案1
最佳实践:不加密
由于安全问题,Ubuntu 中加密文件夹的选项/home/$USER/已被弃用。换句话说,这个旧选项并不安全。
您将计算机描述为“主服务器”。服务器通常将共享文件(文件服务器)或网页(Web 服务器)保存在主文件夹以外的位置。例如,SAMBA 服务器中的文件位置可能位于/srv/samba/share/。类似地,Web 服务器的文件可能位于/var/www/。在所有这些情况下,加密主文件夹都没有任何好处。
无论是家用还是商用服务器,服务器始终处于开启状态。加密分区或加密的“整个磁盘”仅在静止时才加密。也就是说,当服务器运行时,分区处于未加密状态。如果您担心有人闯入您的家中并带走您的家用服务器(关闭后),然后试图在小偷层面再次将其打开,以窃取您的私人信息,那么磁盘/分区加密是有意义的。但您可以投资一把好门锁。
如果您担心有人可能远程入侵您正在运行的家庭服务器并窃取您的私人信息,那么磁盘/分区加密就毫无意义。您可能需要正确配置家庭路由器和家庭服务器的防火墙,并寻找其他方法来保护您的服务器免受远程黑客攻击。
希望这可以帮助
答案2
这个视频应该会有所帮助。问题不在于小偷,而在于另一个用户试图访问另一个用户主文件夹中的私人数据,或者是受到感染的用户访问另一个用户主文件夹数据。 https://youtu.be/ftMFTf4I-Ig
基本上下载并安装:
sudo apt install ecryptfs-utils cryptsetup
从另一个 TEMP 用户和sudo 能力,运行命令:
sudo ecryptfs-migrate-home -u <user-to-Encrypt-Home>
然后登录您刚刚迁移的用户并运行:
ecryptfs-unwrap-passphrase
然后删除为用户创建的临时文件夹
< 用户至加密主页 > .RandomCharacters